資源描述:
《銀行信息科技風(fēng)險的治理途徑》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1��、銀行信息科技風(fēng)險的治理途徑中國農(nóng)業(yè)發(fā)展銀行總行營運(yùn)中心李小慶信息科技風(fēng)險治理的主要目標(biāo)是為了采取一定的有效措施�,規(guī)避信息科技風(fēng)險帶來的損失,同時需要平衡信息科技風(fēng)險防控所收獲的價值和開展信息科技風(fēng)險防控活動所需的成本���。257信息化建設(shè)一直是現(xiàn)代銀行發(fā)展戰(zhàn)略的重要組成部分��。最近十年����,銀行信息化建設(shè)一直在高速向前發(fā)展。隨著數(shù)據(jù)大集中工程的啟動及完成�,銀行信息化從信息基礎(chǔ)設(shè)施到業(yè)務(wù)系統(tǒng)的建設(shè),都取得了較為明顯的成效���,信息化總體架構(gòu)已經(jīng)成熟�����,各類業(yè)務(wù)應(yīng)用系統(tǒng)已經(jīng)初具規(guī)模��。各類信息系統(tǒng)已經(jīng)成為銀行提供客戶服務(wù)���、獲取市場價值、培育核
2�����、心競爭力的重要途徑��?���! 〉牵S著銀行信息化規(guī)模的日益擴(kuò)大���,信息科技風(fēng)險的防控及治理始終是銀行信息化建設(shè)和管理的薄弱環(huán)節(jié)���。2009年�����,銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險治理指引》(以下簡稱《指引》),從信息安全�����、信息系統(tǒng)開發(fā)和信息科技運(yùn)行等多個層面對信息科技風(fēng)險治理進(jìn)行了清晰規(guī)定���。從《指引》中�����,我們可以解讀到�,信息科技風(fēng)險治理是以可接受的成本識別���、控制�、降低可能影響信息系統(tǒng)風(fēng)險的過程���,通過風(fēng)險識別��,制定信息科技風(fēng)險治理策略�����,采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進(jìn)行控制��,使風(fēng)險被避免���、轉(zhuǎn)移或降低到一個可以被接受的水平�,同時考慮
3��、控制費(fèi)用與風(fēng)險之間的平衡�。信息科技風(fēng)險治理體系主要包含信息科技風(fēng)險識別、分析與評價��,信息科技風(fēng)險的計量���,信息科技的治理思路和控制措施���。一、信息科技風(fēng)險識別�����、分析與評價 信息科技風(fēng)險治理的主要目標(biāo)是在可接受成本的范圍內(nèi),分析信息系統(tǒng)面臨的潛在風(fēng)險�����,并采取一定措施控制和防御風(fēng)險的過程����。風(fēng)險識別是指對組成信息科技風(fēng)險因素在系統(tǒng)中潛在可能性認(rèn)識的過程��,風(fēng)險分析是指系統(tǒng)化地識別和分析風(fēng)險來源和風(fēng)險類型���,風(fēng)險評價是指按組織制定的風(fēng)險標(biāo)準(zhǔn)計算風(fēng)險水平�����,確定風(fēng)險嚴(yán)重性����?! ?.風(fēng)險識別 信息科技風(fēng)險的組成因素,一般包含價值信息資產(chǎn)�、
4��、信息資產(chǎn)面臨的威脅�����、信息資產(chǎn)的脆弱性等�。信息資產(chǎn)是對組織具有價值的信息資源�����,是風(fēng)險控制措施保護(hù)的對象���。信息資產(chǎn)面臨的威脅是可能對信息資產(chǎn)或組織造成損害的潛在因素���。信息資產(chǎn)脆弱性是信息資產(chǎn)可能被威脅利用的弱點(diǎn)。風(fēng)險識別是對信息系統(tǒng)和信息基礎(chǔ)設(shè)施的威脅���、脆弱性和風(fēng)險的識別����,它包含以下元素:被特定威脅利用的信息資產(chǎn)的一種或一組脆弱性��,導(dǎo)致信息資產(chǎn)丟失或損害的潛在可能性����,即特定威脅事件發(fā)生的可能性與后果的集合����。風(fēng)險識別過程是綜合分析信息科技風(fēng)險各組成因素���,包含信息資產(chǎn)的價值����、對信息資產(chǎn)的威脅和威脅發(fā)生的可能性����、信息資產(chǎn)脆弱性����、現(xiàn)
5、有的風(fēng)險控制提供的保護(hù)等�����,從而導(dǎo)出風(fēng)險的過程��。銀行對信息科技風(fēng)險一般具有偏好性考慮����,其結(jié)果受到業(yè)務(wù)需求及戰(zhàn)略目標(biāo)��、文化��、業(yè)務(wù)流程��、風(fēng)險要求�����、信息規(guī)模和結(jié)構(gòu)的影響�����,因此在風(fēng)險識別實(shí)施前��,應(yīng)確定風(fēng)險識別的范圍和目標(biāo)����,建立適當(dāng)?shù)慕M織結(jié)構(gòu)����,建立系統(tǒng)化的風(fēng)險識別方法,獲得管理者對風(fēng)險識別工作的批準(zhǔn)?���! ?.風(fēng)險分析 在進(jìn)行風(fēng)險識別之后,必須就各項風(fēng)險對整個信息系統(tǒng)的影響程度做一些分析和評價��,通常這些評價建立在以特性為依據(jù)的判斷和以數(shù)據(jù)統(tǒng)計為依據(jù)的研究上�����。風(fēng)險分析的方法非常多�,一般采用統(tǒng)計學(xué)范疇內(nèi)的概率、分布頻率���、平均數(shù)����、眾數(shù)等方
6�����、法����。但無論是哪一種工具����,都各有長短����,而且不可避免地會受到分析者的主觀影響���?���?梢酝ㄟ^多維度�、多人員分析或者采取頭腦風(fēng)暴法等盡可能避免。此外�,應(yīng)當(dāng)明確,風(fēng)險是一種變化著的事物�,基于這種易變條件上的預(yù)測和分析,是不可能做到十分精確和可靠的����。所有的風(fēng)險分析都只有一個目的,即盡量為避免信息系統(tǒng)提供的服務(wù)失控和為具體的信息系統(tǒng)開發(fā)和運(yùn)行中突發(fā)問題預(yù)留足夠的后備措施和緩沖空間����。 3.風(fēng)險評價 信息科技風(fēng)險評價方法有兩種:定量方法和定性方法。定量分析是試圖從財務(wù)價值上對構(gòu)成風(fēng)險的信息資產(chǎn)的各項要素進(jìn)行量化分析評價的一種方法��,由于定量
7��、分析所依賴的數(shù)據(jù)的可靠性和有效性很難保證�����,加之對數(shù)據(jù)統(tǒng)計缺乏長期性��,所以���,定量分析方法在銀行信息科技風(fēng)險評價中并不常用���,取而代之的是更容易實(shí)施的定性分析方法?! 《ㄐ燥L(fēng)險評價并不強(qiáng)求對構(gòu)成風(fēng)險的各個要素進(jìn)行精確的量化評價,它有賴于評價者的經(jīng)驗(yàn)判斷����、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn),來對風(fēng)險要素進(jìn)行相對的等級分化�,最終得出的風(fēng)險大小����,只需要通過等級差別來分出優(yōu)先順序即可��。事實(shí)上����,銀行最關(guān)心的是業(yè)務(wù)活動的持續(xù)性�����,對于影響業(yè)務(wù)活動持續(xù)性的各種風(fēng)險問題�,在有限的資源支持情況下,只需要抓住最突出的問題����,有針對性地采取措施即可。二�、信
8、息科技風(fēng)險計量方法 風(fēng)險計量是在風(fēng)險識別的基礎(chǔ)上��,根據(jù)信息科技風(fēng)險組成要素的相關(guān)屬性進(jìn)行賦值����,進(jìn)行綜合計算最終獲得信息科技風(fēng)險值。信息資產(chǎn)的屬性主要是資產(chǎn)價值��,威脅的屬性主要是威脅主體、影響程度��、影響范圍等���,脆弱性的屬性主要是信息資產(chǎn)缺陷的嚴(yán)重程度��。風(fēng)險計量的主要內(nèi)容是對信息資產(chǎn)進(jìn)行識別���,并對信息資產(chǎn)的價值進(jìn)行賦值
